Denna delen av 99 uppdateras inte längre utan har arkiverats inför framtiden som ett museum.
Här kan du läsa mer om varför.
Mac-nyheter hittar du på Macradion.com och forumet hittar du via Applebubblan.

Bash bug a.k.a Shellshock

Tråden skapades och har fått 20 svar. Det senaste inlägget skrevs .
1
Skriv svar
#1
  • Medlem
  • Göteborg
  • 2014-09-25 10:07

En bug i Bash drabbar alla *nix-system. Enligt Arstechnica och The Verge även OSX. Men bara en säkerhetsrisk om man har igång en webserver eller åtkomst via SSH.
Hur stort är detta?

Anmäl Ändra Svara
#2

Verkar vara stort och större än heartbleed.
Alla stora linux-distributioner (och troligen mindre också) har redan skickat ut uppdateringar till Bash som täpper till hålet.

Får se hur snabba Apple är, förhoppningsvis snabba.

Anmäl Ändra Svara
#3
  • Medlem
  • Göteborg
  • 2014-09-25 11:11

Troligtvis ingen panik alls för genomsnittsanvändaren. Patch till OSX kommer, och alla kommer då tycka att Apple dröjt alldeles för länge

Det stora problemet som jag förstår det är att det är oöverblickbart och förekommande i så många applikationer och apparater som aldrig kommer uppdateras. Detta är framförallt en sårbarhet för "Internet of things". Den där gamla webkameran, routern, glödlampan, när tänker du på att uppdatera den, om det över huvud taget går att uppdatera?

En bra genomgång: Troy Hunt: Everything you need to know about the Shellshock Bash bug

Anmäl Ändra Svara
#4
  • Medlem
  • Malmö
  • 2014-09-25 13:08

Om jag kör :

Citat:

env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"

Så får jag endast :

Citat:

env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"
busted
stuff

Då är det väl safe, antar jag. Frågan är hur det ligger till med Synology-nasen.

Anmäl Ändra Svara
#5
Ursprungligen av zinned:

Då är det väl safe, antar jag.

Gå till inlägget

Absolut inte. Bash evaluerade miljövariabeln som du gav den och skrev ut busted, vilket den inte alls skulle ha gjort.

Anmäl Ändra Svara
#6
  • Medlem
  • Göteborg
  • 2014-09-25 13:22
Ursprungligen av zinned:

Då är det väl safe, antar jag. Frågan är hur det ligger till med Synology-nasen.

Gå till inlägget

Nej. Du skulle fått enbart svaret stuff om du inte var drabbad. Nu fick du både busted och stuff.

Ett annat exempel är

Citat:

env x='() { :;}; echo vulnerable' bash -c "echo this is a test"

Jag får svaret

Citat:

vulnerable
this is a test

Om jag inte var drabbad så skulle jag bara fått svaret "this is a test".

Men saken är att alla som har en standardinstallation av OSX är "drabbade", tills man patchat sin Bash, och där rekommenderar jag att man väntar tills Apple släpper en uppdatering, om man inte har igång känsliga server-applikationer som man vill skydda och vet vad man gör.

Mer intressant än om man är "drabbad" är om det finns någon öppen ingång som kan attackeras och utnyttja Bash. Det är väldigt svårt att veta. Om du bara använder macen till vanliga vardagsgöromål så är risken liten. Men det kan ju ligga något gammalt program som använder SSH eller cgi-script som du inte ens använder eller tänker på längre. I bästa fall slutar de fungera när väl Bash patchas.

Anmäl Ändra Svara
#9
Ursprungligen av IngoX:

Troligtvis ingen panik alls för genomsnittsanvändaren. Patch till OSX kommer, och alla kommer då tycka att Apple dröjt alldeles för länge

Gå till inlägget

Med tanke på att problemet nu är vida känt samt att patch finns tillgänglig upstream så är all tid för lång tid. De stora GNU/Linux-distributionerna samt Cygwin m.fl. hade uppdateringar ute redan igår, vissa så sent som idag. Om man kör någon form av servermiljö och det tar mer än 24 timmar att få en uppdatering så ska man installera en egen bash, längre tid än så är inte acceptabelt.

Anmäl Ändra Svara
#10
  • Medlem
  • Malmö
  • 2014-09-25 13:56
Ursprungligen av IngoX:

Nej. Du skulle fått enbart svaret stuff om du inte var drabbad. Nu fick du både busted och stuff.

Ett annat exempel ärJag får svaretOm jag inte var drabbad så skulle jag bara fått svaret "this is a test".

Men saken är att alla som har en standardinstallation av OSX är "drabbade", tills man patchat sin Bash, och där rekommenderar jag att man väntar tills Apple släpper en uppdatering, om man inte har igång känsliga server-applikationer som man vill skydda och vet vad man gör.

Mer intressant än om man är "drabbad" är om det finns någon öppen ingång som kan attackeras och utnyttja Bash. Det är väldigt svårt att veta. Om du bara använder macen till vanliga vardagsgöromål så är risken liten. Men det kan ju ligga något gammalt program som använder SSH eller cgi-script som du inte ens använder eller tänker på längre. I bästa fall slutar de fungera när väl Bash patchas.

Gå till inlägget

Det jag använder är SSH in mot min Mac från annan Mac över internet för att tunnla fjärrstyrning via Skärmdelning.

Anmäl Ändra Svara
#11

Kasta in Xcode från App Store och kör följande i terminal så är det ju lugnt sedan.

mkdir bash-fix
cd bash-fix
curl https://opensource.apple.com/tarballs/bash/ba... | tar zxf -
cd bash-92/bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-pat... | patch -p0
cd ..
xcodebuild
sudo cp /bin/bash /bin/bash.old
sudo cp /bin/sh /bin/sh.old
build/Release/bash --version # GNU bash, version 3.2.52(1)-release
build/Release/sh --version # GNU bash, version 3.2.52(1)-release
sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin
sudo chmod a-x /bin/bash.old /bin/sh.old

Då ligger senaste versionen av bash i OS X och buggen är historia.

Anmäl Ändra Svara
#12
  • Medlem
  • Sollentuna
  • 2014-09-25 14:12
Ursprungligen av maskh:

Kasta in Xcode från App Store och kör följande i terminal så är det ju lugnt sedan.

mkdir bash-fix
cd bash-fix
curl https://opensource.apple.com/tarballs/bash/ba... | tar zxf -
cd bash-92/bash-3.2
curl https://ftp.gnu.org/pub/gnu/bash/bash-3.2-pat... | patch -p0
cd ..
xcodebuild
sudo cp /bin/bash /bin/bash.old
sudo cp /bin/sh /bin/sh.old
build/Release/bash --version # GNU bash, version 3.2.52(1)-release
build/Release/sh --version # GNU bash, version 3.2.52(1)-release
sudo cp build/Release/bash /bin
sudo cp build/Release/sh /bin
sudo chmod a-x /bin/bash.old /bin/sh.old

Då ligger senaste versionen av bash i OS X och buggen är historia.

Gå till inlägget

Verkar funka bra.

$ bash --version
GNU bash, version 3.2.52(1)-release (x86_64-apple-darwin13)
Copyright (C) 2007 Free Software Foundation, Inc.
$
$
$ env X="() { :;} ; echo busted" /bin/sh -c "echo stuff"
/bin/sh: warning: X: ignoring function definition attempt
/bin/sh: error importing function definition for `X'
stuff
Anmäl Ändra Svara
#13

Dum fråga kanske men xcodebuild tycks inte vilja vara med för mig i det kommandot..

Edit: Det var jag som bomma lite när jag skrev kommandon så glöm vad jag sa.

Anmäl Ändra Svara
#14

Jag vill bara poängtera en sak innan alla börjar bygga om sin bash i vild panik. Det här är inte ett direkt problem om man bara kör sin Mac som klient med betrodda användare. Det är först när man kör någon form av server som det under vissa omständigheter kan vara helt jättefel.

Anmäl Ändra Svara
#15

Jag kör mycket att jag kopplar upp mig mot kunders datorer , samt via vpn och mot en NAS är det tillräckligt för att känna oro ?

Anmäl Ändra Svara
#16
  • Medlem
  • Malmö
  • 2014-09-25 16:53

Vad säger @ingox @maskh och @john a ?

Påverkas min SSH-användning mot OS X? Se inlägg #10.

Anmäl Ändra Svara
#17
Ursprungligen av Stefan Willard:

Jag kör mycket att jag kopplar upp mig mot kunders datorer , samt via vpn och mot en NAS är det tillräckligt för att känna oro ?

Gå till inlägget

Nej, det innebär inga direkta attackvektorer för din del.

Anmäl Ändra Svara
#18
  • Medlem
  • International user
  • 2014-09-25 17:33
Ursprungligen av John A:

Med tanke på att problemet nu är vida känt samt att patch finns tillgänglig upstream så är all tid för lång tid. De stora GNU/Linux-distributionerna samt Cygwin m.fl. hade uppdateringar ute redan igår, vissa så sent som idag. Om man kör någon form av servermiljö och det tar mer än 24 timmar att få en uppdatering så ska man installera en egen bash, längre tid än så är inte acceptabelt.

Gå till inlägget

Nej, den patchen som släpptes täppt inte hålet.
En ny CVE som inte är patchas finns nu, CVE-2014-7169

Och ja, detta är STORT.
På CVSS-skalan är det en 10 i alla kategorier, alltså det högsta möjliga.

Anmäl Ändra Svara
#19
Ursprungligen av zinned:

Det jag använder är SSH in mot min Mac från annan Mac över internet för att tunnla fjärrstyrning via Skärmdelning.

Gå till inlägget

Det som kan ställa till det med ssh är om du har ställt in din ssh-server att t. ex. begränsa vissa användares åtkomst, till exempel vilka kommandon som får köras. Detta är vanligt förekommande bl. a. för vissa server-tjänster som använder ssh som transportprotokoll. Många git-servrar använder exempelvis detta. Ssh tillåter att man vidarebefodrar miljövariabler och har man då bash som skal så skulle man kunna använda buggen för att ta sig runt sådana begränsningar. Men det kräver fortfarande att man tillåts logga in, så det borde inte vara något direkt problem om du bara använder ssh rakt av.

Anmäl Ändra Svara
#20
Ursprungligen av zappee:

Nej, den patchen som släpptes täppt inte hålet.
En ny CVE som inte är patchas finns nu, CVE-2014-7169

Och ja, detta är STORT.
På CVSS-skalan är det en 10 i alla kategorier, alltså det högsta möjliga.

Gå till inlägget

Absolut, och det är inte alls bra. Det gör det ännu viktigare att få ut en patch snabbt, hellre en för många än att dra ut på det onödigt länge.

Anmäl Ändra Svara
#21
  • Medlem
  • Malmö
  • 2014-09-25 21:08
Ursprungligen av John A:

Det som kan ställa till det med ssh är om du har ställt in din ssh-server att t. ex. begränsa vissa användares åtkomst, till exempel vilka kommandon som får köras. Detta är vanligt förekommande bl. a. för vissa server-tjänster som använder ssh som transportprotokoll. Många git-servrar använder exempelvis detta. Ssh tillåter att man vidarebefodrar miljövariabler och har man då bash som skal så skulle man kunna använda buggen för att ta sig runt sådana begränsningar. Men det kräver fortfarande att man tillåts logga in, så det borde inte vara något direkt problem om du bara använder ssh rakt av.

Gå till inlägget

Ok. Jag använder ju SSH för att skapa tunneln mellan två OSX-klienter över en viss port, som sedan skärmdelningen kör över, inget annat.

Anmäl Ändra Svara
#22

Nu finns två nya patchar ute för de som vill bygga en egen bash, allt som allt:

Fortfarande ingen officiell fix från Apple.

Anmäl Ändra Svara
#23
Ursprungligen av John A:

Nu finns två nya patchar ute för de som vill bygga en egen bash, allt som allt:

Fortfarande ingen officiell fix från Apple.

Gå till inlägget

Och Apples officiella fix som släpptes häromdagen täpper fortfarande inte till allt.

Anmäl Ändra Svara
1
Bevaka tråden
Nytt i forumet
Debatterade nyheter
Senaste nytt
2 Hur ser ditt julpynt ut hemma?
0 3 ljusa tips för att hålla inbrottstjuvarna borta – använd smart belysning!
12 Slutet på något gammalt - början på något nytt
5 Rykte: Apple väntas lansera en uppdaterad 27" iMac i början av 2022
22 99mac blir Macradion på en helt ny plattform
1 Macradion: Vi släpper lös kraften tillsammans
0 Apple backar på den nya designen av Safari i macOS Monterey
24 Apple släpper macOS Monterey den 25 oktober
0 HomePod mini kommer i fler färger
91 Apple presenterar MacBook Pro, M1 Pro och M1 Max
4 Apple presenterar tredje generationens AirPods
2 Så här ser du Apples event ikväll
1 Apple Watch Series 7 - är det värt att uppgradera?
0 Macradion: Unleash the MF appstore
7 Detta tror vi att Apple visar upp på eventet
1 Apple förlänger sitt serviceprogram för AirPods Pro
0 Rykte: MacBook Pro har samma leverantör av miniLED-paneler som iPad Pro
3 Apple bjuder in till event den 18 oktober
1 BaseLynx: Modulär laddstation utan gränser
1 Tile håller koll på allt från plånbok till nycklar men saknar en nyckelfunktion
0 Apple överklagar domen för betalning genom tredjepartsutvecklare i App Store
Copyright © 2024. Allt innehåll tillhör Svenska Tekniknyheter AB. Citering är tillåten om källan anges. Vi reserverar oss för eventuella informationsfel.
Om 99, RSS, Kontakta oss, Feedback, Trivselregler, Teknisk information och cookies